Исследователи из компании ESET выявили две кампании Android-шпионских программ, которые были разработаны под видом безопасных мессенджер-приложений Signal и ToTok. Эти вредоносные программы распространяются посредством фишинговых веб-сайтов и поддельных магазинов приложений. Обнаруженные семейства шпионского ПО получили названия ProSpy и ToSpy.
Особенности шпионского ПО
Программа ProSpy позиционирует себя как плагин шифрования 'Signal Encryption Plugin' или 'ToTok Pro'. После установки она запрашивает доступ к SMS, контактам и памяти устройства, изменяет свою иконку и имя, чтобы быть неотличимой от системных приложений. Эта программа собирает и передает на удаленные командные серверы метаданные устройства, SMS, контакты, медиафайлы, архивы, APK и список установленных приложений.
В свою очередь, программа ToSpy, деятельность которой начинается с середины 2022 года, выявленная в июне 2025 года, специально имитирует приложение ToTok. Она ориентирована на поиск файлов .ttkmbackup, использующихся ToTok для резервного копирования чатов, собирает документы и медиафайлы. Похищенные данные шифруются с помощью AES-CBC с заранее установленным ключом. Кроме того, ToSpy может удаленно инициировать ручные обновления APK.
Механизмы маскировки и распространенности
Обе программы используют различные методы для сохранения на устройстве: сервисы в переднем плане, перезапуск через AlarmManager и приемники вещания загрузки. Операции, связанные с этими программами, скорее всего, нацелены на пользователей из Объединенных Арабских Эмиратов, где популярность ToTok крайне высока.
Компания ESET поделилась своими выводами с Google, в результате чего Play Protect теперь блокирует известные варианты ProSpy и ToSpy. Эти меры должны помочь защитить пользователей от угроз, связанных с шпионским программным обеспечением, замаскированным под популярные мессенджеры.
